Op zich hebben ze zoals anderen zeggen een klein team maar daarnaast moet je ook gewoon kijken naar de CVEs de oudste die hier wordt genoemd is geen echte vulnerability volgens NVD omdat het ligt aan de de applicatie ontwikkelaars om de tool correct te gebruiken veel van de andere CVEs zijn eigenlijk amper relevant/low-medium risk voor het platform en vereisen lokale interventie.
Voor elk lijstje CVEs/issues moet altijd een afweging van risico en urgentie worden gemaakt en dan kan het zomaar gebeuren dat een oude CVE pas wordt opgelost als de lib met de issue eindelijk wordt ge-update om andere redenen omdat de CVE zelf niet urgent genoeg was om daar moeite voor te doen.
(overigens specifiek in het geval van CVE-2013-0340 die is afgewezen door de ontwikkelaar, de vorige versie van libexpat in SailfishOS was 2.2.9 uit 2019 en nu zijn ze door naar 2.4.3 van begin vorig jaar zo’n lib die waarschijnlijk in elk programma dat XML gebruikt gelinked is is niet “even” te vervangen als ze API veranderingen hebben doorgevoerd)
Dat gezegd hebbende zou ik ook veel liever zien dat mobieltjes en andere SBCs zich meer zouden gedragen als “normale”
Recent Comments